Una nuova campagna di attacchi pericolosi è stata rilevata dai ricercatori della sicurezza coinvolti nella distribuzione del malware MrbMiner che è programmato per infettare i database MSSQL. Fanno parte di siti aziendali e aziendali e vengono utilizzati per contenere informazioni sensibili e importanti valori del sito. La natura degli attacchi e il fatto che molti portali siano stati compromessi mostra che il gruppo di hacker dietro di esso è probabilmente molto esperto.
MrbMiner Malware sfruttato contro i database MSSQL
I database MSSQL sembrano essere attaccati da una nuova devastante campagna di attacchi. Questa volta si tratta di un pericoloso malware chiamato MrbMiner ideato da un gruppo di hacker esperto. Al momento non ci sono informazioni disponibili sull'identità dei criminali dietro di esso. Il nome è stato dato al virus dopo uno dei nomi di dominio che è stato registrato per diffonderlo.
Gli attacchi che utilizzano un file approccio botnet — numerosi computer e host violati hanno il compito di identificare automaticamente i server di database accessibili su una determinata rete. Se viene trovato, verrà richiamato uno script automatico che tenterà di sfruttare vari exploit di sicurezza. La tecnica principale utilizzata è il tentativi di forza bruta che utilizzerà un dizionario o elenchi basati su algoritmi di nomi utente e password degli utenti amministrativi.
Non appena il malware MrbMiner viene distribuito su un determinato computer, un file sequenza di esecuzione preimpostata inizierà. La prima azione nella versione corrente è scaricare un file file assm.exe da un server remoto. Preparerà l'ambiente istituendo a installazione persistente. I file dei virus verranno lanciati ogni volta che il computer viene acceso. In aggiunta, può bloccare l'accesso alle opzioni di avvio di ripristino che renderanno molto difficile seguire la maggior parte delle guide di rimozione manuale dell'utente.
Secondo rapporti di ricerca gli attacchi sono attualmente ottimizzati e probabilmente cambieranno nel prossimo futuro. Sono particolarmente utili per la diffusione di malware pericolosi come Qbot Trojan.
Funzionalità aggiuntive di MrbMiner Malware
Un passaggio aggiuntivo è l'installazione di un file modulo Trojan. Viene utilizzato per mantenere una connessione al server controllato dagli hacker. Viene utilizzato per assumere il controllo dei sistemi e rubare file e dati dagli host compromessi. Solitamente, i server database sono costruiti su server di livello aziendale e con prestazioni ottimizzate. Per questo motivo, gli hacker dietro la campagna in corso hanno deciso di implementare un'altra azione pericolosa: a distribuire un minatore di criptovaluta. Si tratta di uno script configurato per scaricare più attività complesse ad alta intensità di prestazioni sui server infetti. Verranno eseguiti automaticamente, il che avrà un effetto paralizzante sull'usabilità dei sistemi. Per ogni lavoro segnalato e completato, gli hacker riceveranno come ricompensa risorse di criptovaluta.
L'analisi del codice dei campioni raccolti mostra che il virus è cross-compilato per essere compatibile con i sistemi Linux e l'architettura ARM. Ciò significa che il malware può essere eseguito anche su dispositivi utilizzati in ambienti IoT, impianti di produzione ed ecc.
Questo ci porta anche a credere che il gruppo di hacker potrebbe perseguire un attacco molto più ampio nel prossimo futuro. Questo fatto ha spinto gli analisti a continuare a cercare e hanno scoperto che i fondi malware generati dal modulo miner sono stati inoltrati a un portafoglio Monero. Le transazioni che gli sono state inviate attualmente ammontano a circa 300 Dollaro statunitense. Ciò suggerisce che gli attacchi Linux sono stati recentemente avviati.
Al momento per la maggior parte degli attacchi, i ricercatori notano che c'è un modo per scoprire se il tuo MSSQL è stato colpito. Gli amministratori di sistema possono cercare la presenza di un account backdoor con il nome di Predefinito / @ fg125kjnhn987.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: